Deze maatregel borgt dat Aangeslotenen hun software, applicaties en infrastructuur met regelmaat laten toetsen op (bekende) kwetsbaarheden.

Tenminste jaarlijks moeten whitebox applicatiepenetratietesten worden uitgevoerd op de externe koppelvlakken door een externe, onafhankelijke organisatie.

Voor toetreding heeft deze minimaal al één keer plaatsgevonden en moeten de hoog en middel risicobevindingen op externe Zorgeloos Vastgoed koppelvlakken zijn opgelost.

Voor penetratietesten die worden uitgevoerd na toetreding dient een adequaat actieplan opgesteld te worden voor minimaal de hoge en midden risicobevindingen ten aanzien van de Zorgeloos Vastgoed-dienstverlening. Dit actieplan wordt gedeeld met de beheerorganisatie van Zorgeloos Vastgoed. De corrigerende maatregelen worden tijdig doorgevoerd.

Een whitebox penetratietest houdt in dat de penetratietester zoveel mogelijk inzicht heeft in de applicatie. Dit kan onder meer inhouden:

• Toegang tot architectuur/ontwerpdocumentatie;

• Toegang tot broncode;

• Inloggegevens voor verschillende rollen.

Het is niet nodig om een penetratietest uit te voeren op de gehele architectuur en/of alle programmacode. Het gaat met name om de beveiliging van de gegevens die over internet worden uitgewisseld, de focus moet dus liggen op de beveiliging van de externe koppelvlakken. Een app of een web portaal is ook een extern koppelvlak.

A.18.2.3 Beoordeling van technische naleving

Stel op basis van de meest recente rapportages vast of er wordt voldaan aan de jaarlijkse whitebox applicatiepenetratietesten op de externe koppelvlakken conform de architectuur en specificaties van Zorgeloos Vastgoed (en louter binnen de scope van het afsprakenstelsel).

• Welke informatie / procedures (incl. versienummers) zijn ingezien.

• Met wie gesproken is ter bevestiging van toepassing van de maatregelen.

• Bewijslast m.b.t. de uitgevoerde jaarlijkse testen.

• Bewijslast m.b.t. het melden van kwetsbaarheden.